Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 109

traitement ou de celle du sous-traitant,
que sur instruction du responsable du
traitement. / Toute personne traitant
des données à caractère personnel
pour le compte du responsable du
traitement est considérée comme un
sous-traitant au sens de la présente
loi. / Le sous-traitant doit présenter
des garanties suffisantes pour assurer la mise en oeuvre des mesures de
sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne
décharge pas le responsable du traitement de son obligation de veiller au
respect de ces mesures. / Le contrat
liant le sous-traitant au responsable
du traitement comporte l'indication des obligations incombant au
sous-traitant en matière de protection
de la sécurité et de la confidentialité
des données et prévoit que le sous-traitant ne peut agir que sur instruction
du responsable du traitement. » ;

Charte des droits fondamentaux de
l'Union européenne, qui garantissent
le droit d'accéder à un tribunal impartial et les droits de la défense ; que
si la société soutient que la sanction
litigieuse aurait été prononcée en
méconnaissance de ces stipulations,
au motif qu'elle aurait dû, pour satisfaire à l'obligation prévue par les
dispositions de l'article 34 bis de la
loi, faire connaître à la Cnil les faits
que celle-ci a sanctionnés, il résulte
au contraire de l'instruction que si la
société a informé la Cnil des violations de données auxquelles a donné
lieu l'intrusion qui s'est produite le
18 avril 2014, la délibération attaquée
sanctionne des manquements à l'obligation de prendre « toutes précautions
utiles » qui ont été constatés lors des
contrôles effectués par la Cnil les 12
et 14 mai 2014 ; qu'ainsi, ce moyen doit
être écarté ;

6. Considérant que, contrairement à
ce que soutient la société requérante,
la circonstance qu'elle a satisfait à
l'obligation prévue par les dispositions
précitées de l'article 34 bis de la loi
du 6 janvier 1978, ne faisait nullement
obstacle à ce que la Cnil prononce,
en application de l'article 45 de la
loi cité au point 2 ci-dessus, un avertissement pour méconnaissance de
l'obligation prévue par les dispositions
citées ci-dessus de l'article 34 de la loi ;

8. Considérant qu'il résulte de
l'article 34 de la loi du 6 janvier 1978
que la circonstance que des opérations de traitement de données soient
confiées à des sous-traitants ne
décharge pas le responsable du traitement de la responsabilité qui lui
incombe de préserver la sécurité des
données, sans que soit ainsi méconnu
le principe constitutionnel de responsabilité personnelle, dès lors que ces
sous-traitants agissent, ainsi que le
prévoient les dispositions de l'article
35 de la loi citées ci-dessus, sur instruction du responsable de traitement ; que
la seule mention, dans le contrat liant
la société Orange à son prestataire,
la société Gutenberg, d'une obligation de sécurité mise à la charge de
cette dernière et de ses sous-traitants
ne dispensait pas la société Orange
de prendre des mesures destinées à
s'assurer elle-même que la sécurité
de ses données était préservée ; qu'il
ressort des termes de la délibération
attaquée et qu'il n'est pas sérieusement contesté que la société Orange
n'avait pas fait procéder à un audit
de sécurité sur l'application qui avait
été spécialement définie pour la prospection commerciale de ses clients,
avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données

7. Considérant que les dispositions de
l'article 34 bis de la loi du 6 janvier 1978
imposent seulement aux fournisseurs
de services de communications électroniques accessibles au public d'informer la Cnil et, le cas échéant, les
personnes
intéressées
lorsqu'ils
constatent une violation de données
à caractère personnel ; qu'elles n'ont
ni pour objet ni pour effet de leur
imposer de révéler des manquements
qui leur seraient imputables ; que la
société requérante ne saurait dès lors
utilement soutenir qu'elles méconnaîtraient les stipulations du paragraphe
1 de l'article 6 de la convention européenne de sauvegarde des droits de
l'homme et des libertés fondamentales, qui garantissent le droit de ne
pas contribuer à sa propre incrimination, et les articles 47 et 48 de la

EXPERTISES MARS 2016

à caractère personnel et n'avait
pas veillé à ce que les consignes de
sécurité prévues contractuellement
avec Gutenberg soient portées à la
connaissance du prestataire secondaire ; que, dans ces conditions, eu
égard au caractère personnel des
données qui ont fait l'objet d'un accès
illicite et au nombre très important
des personnes concernées, la formation restreinte a pu à bon droit estimer
que la société Orange avait méconnu
les obligations mises à sa charge par
l'article 34 de la loi du 6 janvier 1978 ;
9. Considérant, en troisième lieu,
d'une part, que l'avertissement
prononcé par la délibération attaquée
est proportionné à la nature et à la
gravité des manquements constatés,
alors même qu'il n'en est résulté qu'une
atteinte à des données identifiantes non
sensibles ; d'autre part, qu'eu égard à
la nature des violations constatées et
aux moyens humains et financiers
dont disposait la société Orange pour
les prévenir, la formation restreinte
a pu à bon droit décider, en application du deuxième alinéa de l'article 46
de la loi du 6 janvier 1978, à titre de sanction complémentaire, que l'avertissement prononcé serait rendu public ;
10. Considérant qu'il résulte de tout
ce qui précède que la requête de
la société Orange doit être rejetée ;
11. Considérant que les dispositions
de l'article L. 761-1 du code de justice
administrative font obstacle à ce
qu'une somme soit mise à la charge
de l'Etat qui n'est pas, dans la présente
instance, la partie perdante ;

DECISION
Article 1er : La requête présentée par
la société Orange est rejetée.
Article 2 : La présente décision sera
notifiée à la société Orange et à la
Commission nationale pour l'informatique et les libertés.

Le Conseil : Jacques Reiller
(rapporteur),
Emilie
BokdamTognetti (rapporteur public)
Avocats : SCP Piwnica, Molinie

109



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411

Couverture
Sommaire
MAGAZINE - SÉCURITÉ : LA POMME DE DISCORDE Par Sylvie ROZENFELD
INTERVIEW - PATRICK THIÉBART LE CO-EMPLOI : RÉPONSE À L’UBÉRISATION DU TRAVAIL, Par Sylvie ROZENFELD
DOCTRINE
DROIT DE LA PREUVE ÉQUIVALENCE ENTRE L’ORIGINAL PAPIER ET LA COPIE NUMÉRIQUE Par Isabelle RENARD
NUMÉRIQUE LE LÉGISLATEUR FACE AU DÉFI DE LA RÉGULATION Par Viviane GELLES
CYBERMENACES LE FIC 2016 À L’HEURE DU CONSEIL JAI Par Myriam QUÉMÉNER
E-RÉPUTATION PROTECTION DE LA VIE PRIVÉE PAR L’ANONYMISATION ET LE DÉRÉFÉRENCEMENT Par Jérôme DEBRAS
JURISPRUDENCE
ORANGE
F. B-H. / 20 MINUTES FRANCE
FRENCH DATA NETWORK ET AUTRES
FRÉDÉRIC X. / FACEBOOK INC.
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - MAGAZINE - SÉCURITÉ : LA POMME DE DISCORDE Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 91
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - INTERVIEW - PATRICK THIÉBART LE CO-EMPLOI : RÉPONSE À L’UBÉRISATION DU TRAVAIL, Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 96
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - DROIT DE LA PREUVE ÉQUIVALENCE ENTRE L’ORIGINAL PAPIER ET LA COPIE NUMÉRIQUE Par Isabelle RENARD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - NUMÉRIQUE LE LÉGISLATEUR FACE AU DÉFI DE LA RÉGULATION Par Viviane GELLES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - CYBERMENACES LE FIC 2016 À L’HEURE DU CONSEIL JAI Par Myriam QUÉMÉNER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 103
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - E-RÉPUTATION PROTECTION DE LA VIE PRIVÉE PAR L’ANONYMISATION ET LE DÉRÉFÉRENCEMENT Par Jérôme DEBRAS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - ORANGE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - F. B-H. / 20 MINUTES FRANCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - FRENCH DATA NETWORK ET AUTRES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 113
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - FRÉDÉRIC X. / FACEBOOK INC.
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 116
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
http://www.nxtbookMEDIA.com